未被发现的网络钓鱼如何造成数据泄露的风险
Prime Valley 医疗保健公司是一家非营利性的中型医疗保健系统,于 2013 年由两家医疗保健系统合并而成。
如今,Prime Valley 包括 36 家医院、550 个病人护理点、4500 张病床、5300 多名在职医生和 30000 名员工。在过去两年中,年收入增加了 7 亿美元,营业收入翻了一番多,达到 5 亿美元。
近年来,美国医疗改革的重点是控制快速上涨的医疗费用和增加获得医疗服务的经济机会。
尽管最近在 Covid-19 大流行期间,远程医疗实践有所增加,但医疗保健服务还没有在同等程度上受到这场几乎改变了社会其他所有方面的数字化革命的影响。
阻碍更多地使用通信和信息技术的一个因素是缺乏关于获取、存储、通信、处理和展示医疗信息的国家标准。另一个障碍是对病人医疗记录(病人健康信息)的隐私和保密以及数据安全问题的担忧。
梅根-康普顿(Meghan Compton)是 Prime Valley 医疗保健公司的首席信息安全官,当她正在查看上午的 IT 基础架构风险评估报告时,她的安全团队成员亚历克斯打来了电话。Alex 一直在关注 Froth 医生的在线账户。他是刚刚加入 Prime Valley 医生网络的新医生。在过去的一个月里,Froth 博士的风险分数一直在上升,包括从不同的办公室多次登录他的账户,而且在一天中的不同时段都有来自欧洲的活动。
当安全团队一直在监控托马斯-弗罗斯博士的风险分数时,他们发现另一个风险分数也在上升,这次是并购部主管罗伊-史密斯。与 Froth 博士有关联的 IP 地址也与 Roy Smith 的账户有关联。
看来,Prime Valley 也加入了因未被发现的网络钓鱼攻击而导致泄密的不幸潮流。
由于风险评估不断增加,Prime Valley 不得不通知总裁兼首席执行官并实施威胁调查。梅根的团队面临的压力越来越大,他们必须查明到底发生了什么,并确保患者数据没有被泄露。
一周后,亚历克斯有所发现。艾利克斯利用 IBM QRadar Advisor with Watson 向梅根展示了他的一些关键分析结果。他发现攻击源于医生网络使用的传统软件。攻击者是在 Prime Valley Healthcare, Inc. 完成收购前 3 个月进入医生网络的。攻击者是通过 Facebook 消息进入医生网络的。
并购团队一定是太匆忙了,以至于在将账户连接到 Prime Valley 公司网络之前忽略了确保网络安全。梅根团队的威胁猎手利用 IBM X-Force Exchange 进行威胁情报调查,发现了一个来自巴尔干半岛的模式,该模式对美国医疗系统的其他攻击负有责任。
什么是网络安全?
太多事件。太多错误警报。有太多的系统无法从根本上跟踪威胁的破坏情况。没有足够的专业知识来管理所有这些数据,并让团队始终领先于敌人。现实情况是,分析人员需要人工智能(AI)的帮助。
通过人工智能和机器学习,可以更容易、更快速地找到构成高级持续性威胁和阴险内部活动的根本原因和事件链。
网络攻击的规模和复杂程度不断提高。与此同时,IT 预算薄弱,安全人才供不应求。现代安全运营中心(SOC),无论是现场的还是虚拟的,都需要部署技术和人员的组合,以缩小攻击和修复之间的差距。
有了正确的流程,您就能清楚地了解整个企业的基础设施活动,并能动态地做出反应,帮助防范高级、持续和机会性威胁,无论这些威胁是来自企业外部还是内部。
